Fail – guckstu:
https://www.scope7.de/hardware/scope7-4210
… um nur drei zu nennen…
Darüber, ob eine Firewall virtualisiert sein sollte oder eine Appliance, lässt sich hervorragend streiten. Für jede Lösung lassen sich Vor- und Nachteile benennen. Letztlich wird das oft auf die Frage hinauslaufen, wie viel Performance man braucht. Für kleine und normale Schulen reicht ein virtualisiertes OPNsense als Firewall und Router in einem, große Umgebungen brauchen vielleicht eine Firewall auf Blech und einen großen L3-Switch mit Routing zusätzlich zum Server.
Für das gesamte System ist es vermutlich auch fast egal, ob eine Firewall auf Blech ausfällt oder der Server, der alles virtualisiert, weil es weitestgehend unbenutzbar wird. In beiden Fällen muss man schnell ran; ob man da nun eine VM mehr wieder aus den Backups herstellt, ist für die Downtime vermutlich fast egal. @zefanja hat das in seinem Artikel Hochverfügbarkeit in einem Schulnetzwerk unter dem Punkt Single Point of Failure angerissen: Wenn man mehr Sicherheit möchte, braucht man Redundanz, also „doppelte Hardware“; das kostet Geld und ist komplexer.
Zurück zu eigentlichen Thema: Ich fände eine Info, wie Docker in Zukunft genutzt werden soll sinnvoll (und wenn es ist: Bestimmte „offizielle“ Pakete kommen als Docker auf den Server; die Community-Sachen auf einen Dockerhost). Da man Docker (insb. im Hinblick auf reverse-Proxy und TLS) unterschiedlich konfigurieren kann, ist ein Konsenz wünschenswert, damit jetzt Erstelltes später nicht noch einmal überarbeitet werden muss.
VG
Fabian
2 „Gefällt mir“
Hallo Tobias und tr0llix,
das kann ich nur zu 100% unterstreichen. Der Umgangston hier ist freundlich und Äußerungen, auch Meinungsäußerungen, respekt- und niveauvoll. Wir sagen hier eigentlich auch Hallo und Tschüß, sprich Begrüßungs- und Verabschiedungsfloskeln - leider nicht mehr alle.
tr0llix sagt finde ich schon ziemlich alles. Offensichtlich hat man sich angemeldet um zu trollen a la Heise.
Als Moderator fordere ich tr0llix auf, sich einen anderen Benutzernamen zu geben und sich an unsere Nettiquette zu halten. Das darf als Verwarnung angesehen werden.
Viele Grüße
Steffen
Hallo Frank,
unterstreicht den Benutzernamen und meine daraus abgeleitete Vermutung über den Grund der Anmeldung. Heise und Co reichen wohl nicht mehr.
Viele Grüße
Steffen
Hi,
Können wir wieder beim Thema bleiben?
@Frank: es gibt keinen Grund, hier Zeit für irgendeine De-Anonymisierung zu verschwenden. Wenn @tr0llix ein Troll wäre, würde er sich auch wieder trollen. Er ist ja zum Thema zurückgekehrt…
Sonst muss ich mal einfordern, dass es neben dem Herz-Symbol unter einem Post noch ein Symbol für „OT“ geben sollte und eines für „das hat die Diskussion entscheidend weitergebracht.“. Das hätte der Post von @fkretzschmar z.B. verdient.
VG, Tobias
Also geb ich auch noch meinen Senf dazu 
Ich glaube nicht, dass hinter der Empfehlung von netzint, eine Sophos einzusetzen, der Versuch einer Gewinnmaximierung liegt!
Dass eine Firma insgesamt auch darin interessiert sein muss, Gewinn zu machen steht imho auf einem anderen Blatt und das finde ich auch legitim. Das muss ja aber nicht im Zusammenhang damit stehen, kommerzielle Produkte einzusetzen.
Ich kann einige der Argumente nachvollziehen und so überlegen wir auch, von der OPNsense auf eine Sophos zu wechseln. U.a. wegen der Schutzfunktionen beim Öffnen der Schulkonsole nach außen, die Sophos soll das komplette Routing übernehmen, was momentan irgendwie auf Coreswitch und OPNsense verteilt ist, der Unsicherheit, bei jedem OPNsense-Update könnte was kaputt gehen, etc.
Solange jeder auswählen kann, welchen Weg (OPNsense oder Sophos, Hypervisor 1 oder 2, Docker à la Frank oder was auch immer à la netzint, WLAN so oder so, Linux- und/oder Windows-Clients,…) er gehen möchte und dabei sowohl Support von netzint als auch der Community bekommt, ist das doch ok und gerade von solchen Alternativen/Optionen lebt doch unser Projekt!?
Genau das sehe ich aber in Gefahr!
Und problematisch wird es dann, wenn die Entwicklung in eine Richtung gehen sollte, in der nur noch jeweils eine Variante funktioniert und alle anderen in eine Sackgasse rennen oder wenn die einen oder anderen sich nachher auf den Standpunkt stellen sollten, dann keinen Support mehr geben zu können oder (schlimmer!) zu wollen!
Dann befürchte ich, wird es zu solchen Überlegungen wie der von Frank kommen, sich zurückzuziehen und das wäre zum einen persönlich mehr als schade und zum anderen dem Projekt mehr als nicht zuträglich, da wir zwar tollerweise über eine große und aktive Community aber leider nicht über immense Kern-Entwicklungs-(Wo)Menpower verfügen!
Daher würde ich Tobias’ Eingangsbitte unterstützen, sich doch bitte (rechtzeitig) zusammenzusetzen und transparent weitere Entwicklungen abzustimmen!
Just my 0,02$, viele Grüße,
Jochen
2 „Gefällt mir“
Hallo Paul,
wie @fkretzschmar schreibt, mit Hochverfügbarkeit hat das noch lange nichts zu tun. Wenn der Server ausfällt, geht eh nichts mehr richtig.
dein zweiter Kommentar war auch die Idee: wenige kümmern sich um die Aktualität und alle profitieren davon.
VG, Tobias
Hallo,
ich fand trollix Antwort OK und von mir aus darf er den Benutzernamen
nehmen den er will.
Dass er Paul heißt steht ja trotzdem dabei.
Andererseits halte ich
Hallo und
Gruß
in der Nachricht auch für wichtig.
Das würde mich also schon freuen 
Viele Grüße
Holger
Meine Meinung:
Bei tr0llix handelt es sich um einen Insider der sich nicht traut mit offenem Visier zu arbeiten. In meinen Augen ein schlechter Stil.
Gruß
Alois
Hallo Holger,
-
Dieser Benutzer heisst nicht Paul, und ist auch kein Aussenstehender. (Wegwerfmailadresse, Reg und Zugriff über Tor, Kenntnisse der Entwicklung ohne Recherche) eigentlich müsste man dieses Konto mitsamt aller Beiträge einfach löschen.
-
Dass du diese Art hier aufzutreten als Vereinsvorstand „OK“ findest, zeigt exemplarisch sehr schön, dass dieses Projekt ein paar ziemliche Probleme hat…
Frank
Hi.
Bevor die Wellen hier noch höher schlagen ein Vorschlag zur Beruhigung: Transparenz hilft … wenn jeder die Entscheidungen, warum und wieso Service X jetzt so und nicht anders installiert werden soll, nachvollziehen kann, dann ist den meisten hier geholfen, denke ich?!
In aller Kürze,
Michael
Hallo zusammen,
kurz auch von mir ein bisschen Senf dazu, unausgegoren… es gab ja schon seit einiger Zeit ein paar „Indizien“, dass es hier und da etwas knirscht.
Ich würde sehr anregen, dass wir diese Themen irgendwann mal gemeinsam und persönlich besprechen. Ich finde es äußerst schade, wie sich an manchen Stellen (und damit meine ich niemanden speziell) die Stimmungen verändern. Vor allem, wenn das Sachfragen überlagert, bei denen auch ich nicht immer denke, dass das „optimal“ läuft.
Wir wären ja nicht das einzige Open Source-Projekt, bei dem starke Persönlichkeiten aneinander geraten und man über Strukturen und Abläufe halt diskutieren muss. Und ich bin auch nicht immer sicher, ob das „Projekt“ oder individuelle Überzeugungen oder partikulare Interessen im Mittelpunkt stehen.
Zu den beiden inhaltlichen Punkten: ich habe ja schon mal auf unseren Meetings geäußert, dass ich das mit kommerziellen Komponenten auch sehr kritisch sehe (Firewall, Virtualisierung, …). Nicht so sehr, dass man das kann. Das darf und soll jeder entscheiden und dann einsetzen, wie und was er will. Und es ist gut, wenn das dokumentiert ist.
Aber ein Problem sehe ich schon darin, wenn man sich als Open Source Projekt versteht und man dann so Aussagen hört wie „wir bieten es nur so an, weil richtig gut läuft’s mit freien Sachen dann doch nicht“. Oder auch „nur ein kommerzieller Virtualisierer wird halt supportet“. Da könnte ich dann irgendwann auch hingehen und sagen „die kommerziellen Schulserver sind da ja schon etwas weiter“, etc.
Bei Docker sehe ich das ähnlich - ich persönlich nutze es selten und eigt. nur da, wo es mir das Leben einfacher macht (scalelite, matrix). Und fand Franks Pläne trotzdem durchaus reizvoll als Teil von linuxmuster.net. Aber wie bei einigen Entscheidungen ist mir nicht ganz klar, wie das dann im Projekt läuft, was „hintenrum“ alles diskutiert wird (Thema Transparenz).
Wir sind deutlich besser darin, über Designs und Logos zu diskutieren, als über die technische Details der Lösung. Das ist mit Blick auf das - von einigen ja selbst erklärte - Wissen einiger verständlich. Aber trotzdem sehe ich die Gefahr, dass dann zu oft Leute „abgehängt“ werden. Vor allem als Nicht-BWler 
Aber das erstmal nur als „Bauchgefühl“ zur Sache…
Viele Grüße aus Göttingen
Thomas
1 „Gefällt mir“
Hallo Frank,
- Dass du diese Art hier aufzutreten als Vereinsvorstand „OK“ findest,
zeigt exemplarisch sehr schön, dass dieses Projekt ein paar
ziemliche Probleme hat…
wenn du meinst.
Ich hatte aber, als ich meinen Beitrag geschrieben habe deine
Hintergrundinformationen nicht gehabt.
Also hab ich nur gesehen: sein erster Satz war polemisch: das ist nicht
schön, aber das kommt mal vor: passiert auch dir manchmal (siehe Zitat
oben).
Der Rest ist nicht alles falsch: auch ich sehe durchaus Umgebungen wo es
Sinn ergibt ein „größeres“ Ding zu nehmen als eine virtualisierte OPNsense.
Auch ich hatte erstmal sehr große Bauchschmerzen als ich mitbekam, dass
netzint Sophos anbietet.
Damals hab ich bei netzint angerufen und nachgefragt: um das eben
einschätzen zu können.
Dabei gab es Begründungen, die ich erstmal nicht so schlüssig fand.
Inzwischen sehe ich das differenzierter: es ist nicht Schwarz/weiß: es
kommt darauf an, wem sie das anbieten.
Wenn die Grundschule eine Sophos bekommen soll, dann sehe ich das auch
kritisch.
Wenn eine Schule wie meine das bekommen soll, dann kann das durchaus
Sinnvoll sein (1600 Schüler bald deutlich über 200 Rechner).
Und da fehlen mir Informationen um irgendjemand hier an zu pflaumen oder
irgendjemand Unredlichkeit zu unterstellen: ich müßte ja wissen, wem sie
das, und weswegen angeboten haben: und das weiß ich nicht.
Wenn du das weißt, dann weißt du auch da mehr als ich: kann ja sein.
Ich verstehe aber auch nicht, was an „meine Art hier auf zu treten“
verwerflich sein soll: hab ich jemanden angegangen?
Oder meinst du ich verfolge eine Agenda? Ich verstehe es nicht.
Viele Grüße
Holger
Hallo,
wenn „Paul“ eine Wegwerf-Mailadresse verwendet hat, liest er hier wahrscheinlich auch nicht dauerhaft mit. Trotzdem mal, ggf. für alle anderen, der Hinweis dass die Aussage es gäbe zu OPNsense keine Hardware einfach total falsch ist:
Es gibt auch direkt von der OPNsense-Website verlinkt diesen Shop mit Hardware - https://www.applianceshop.eu/?___store=de
Auf gut Deutsch: Eine Firma, die ja durchaus legitim Geld verdienen darf / soll / muss, könnte ohne aus der Gesamtlinie auszuscheren sehr wohl auch Appliances mit OPNsene verkaufen.
@tr0llix - ich habe das mal auf Dein Niveau runtergebrochen und vereinfacht:
-> https://lmgtfy.com/?q=OPNsense+hardware+appliance&s=t
Eine Sophos ist auch nichts anderes als ein Software-System / Betriebssystem mit Firewallintegration und wird genau so wie die z.B. bei den Appliances der Thomas-Krenn-AG das OPNsense, dann auf einer passende Hardware installiert.
VG, Andreas
Unbedingt. Früher gab es mal so Entwicklertreffenprotokolle, in die ich immer gern reingeschaut habe, um zu sehen, was so „hinter den Kulissen“ passiert bzw. in welche Richtung weiter gedacht wird etc. (https://wiki.linuxmuster.net/archiv/entwicklung:start) Leider sind die letzten Protokolle schon über 2 Jahre alt.
Offtopic:
IMHO sollte es u.a. ein Ziel sein neue Entwickler zu gewinnen, anstatt… naja. Aus der Ferne eingeschätzt (und hoffentlich liege ich damit falsch) steht LMN personell (Entwickler) auf dünnen Beinen.
vG Stephan
Hallo,
in meiner Fassungsloskeit zum @tr0llix-Beitrag habe ich im vorigen Posting die Hälfte vergessen. Ein weiter Ahnungslosigkeits-Aspekt von @tr0llix ist die positive Darstellung der Idee - wir vereinigen da mal die Firewall mit dem Layer-3-Switch für die LAN-Segmentierung. Dabei wird übersehen, dass damit z.B. ein DDoS-Angriff gegen die Sophos, der die Sophos in den Keller zieht, gleichzeitig die LAN-Segmentierung lahmlegt! Eine Kombi aus Firewall und Router / L3-Switch ist eine ganz doofe Idee! Der Virtualisierungshost (z.B. Proxmox) oder der LMN-Server selbst sind für diese Aufgabe auch denkbar ungeeignet, so weit stimmt die Aussage. LAN-Segmentierung macht man nun mal mit einem hardwareunterstützten L3-Switch, und nicht mit einer Sophos die dann auch noch Firewall nach Außen ist.
VG, Andreas
1 „Gefällt mir“
Macht man ja aber nicht, seit Jahren nicht mehr. Das sieht man auch an dirsem Thread hier.
Und Entwicklerprotokolle ersetzen nicht communityorientierte Entwicklung und eine solche findet bei Linuxmuster IMHO eben auch schon lange nicht mehr statt. Der korrekte Name müsste meines Erachtens NetzintOS 1.0 sein (überhaupt „Bond“, WTF)
Aber ich befürchte, dass die nötigen Fähigkeiten, das als Community-Projekt zu reissen auf mehreren Eben der Organisation einfach nicht vorhanden sind.
Mit meinem Ausscheiden ist ja jetzt immerhin mal eine starke Meinung weg, dann könnt ihr ja wieder kuscheln
VG
Frank
Wenn jemand seinen ersten Beitrag so startet und sich einen Namen gibt der Programm ist, dann gibt es für mich nur eins. Nicht darauf eingehen.
In diesem Sinne bitte ich Euch darum Euch nicht weiter um tr0llix zu kümmern!
Gruß
Alois
Das hast du falsch verstanden: Nicht du bist blöd aufgetreten, sindern derjenige hinter dem Fake Account.
Aber du hast geschrieben, dass du dessen Beitrag O.K. findest, und das geht aus meinder Sicht - egal welche Info du hast - als Vorstand halt gar nicht. Das darfst du natürlich anders sehen und machen, aber dann ist das für mich Teil des Problems.
Aber den hier auftretenden Konflikt gibt es ja schon seit mindestens 5 Jahren, und das war dem Vorstand ja immer egal - ich habe meine Konsequenzen ja auch gezogen, dazu haben wir ja auch mehrfach kommuniziert und telefoniert, der Vorstand und ich.
Der einzige Kommentar zu meinen Überlegungen nicht mehr als Entwickler mitzuwirken den ich überhaupt von irgend jemandem (Vorstand/Entwickler) bekommen habe war „Entwickler gehen, neue kommen“
Aber das läuft super hier, bloß nicht streiten.
Frank
Da der Faden sowieso schon irgendwie durcheinander ist, hier mal mein Gefuehl zur Entwicklung, kenne aber die Interna auch nicht.
Es wundert mich immer wieder, wenn hier mal einer der Entwickler aufschlaegt und etwas schreibt, denn ich dachte urspruenglich, die Entwickler waeren direkt unter „uns“ und wuerden hier direkt ihren Senf zu allen Themen dazugeben. Ich dachte das Forum waere die Sonne, um die alles kreist, mittlerweile hab ich das Gefuehl, es gibt da zwei Sonnensysteme, die sich gelegentlich mal streifen.
Gruss Harry